シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

debug client の出力から AAA Override 適用の過程を読み取る [CUWN]

CUWN では下図のように WLAN で "AAA Override" を有効にすることで、RADIUS 認証サーバ CSACS や ISE ポリシーアプライアンス等と 802.1x を通じてダイナミックにクライアントの無線 LAN セッションを適用することができます。

適用できる項目は多岐に渡りますが、特によく使われる代表的なものとして次のものがあります。

  • VLAN ID
  • Session Timeout
  • Access List (ACL)

上手く利用することで、同一の SSID、同一の WLAN 設定を保ちながら、ユーザを組織単位、端末単位、ユーザ単位、OS やサプリカント単位、位置情報単位等、様々な条件を基に、特定の VLAN へ所属させたり、特定のネットワークアクセスを制限したり、セキュリティレベルを変更したりすることが可能です。

デザインの自由度が高まる反面、WLC の WLAN 設定情報は同一のままのため、WLC の設定情報を読み取るだけではどのような AAA Override がなされているかを知ることができないため、トラブルシューティングや動作検証の際に不便です。

debug client {MAC address of client} と、debug aaa all enable をセットで仕掛けておくことで、AAA Override が適用される過程をライブで観測することが可能です。このドキュメントでは実際の出力を基に当該部分を解説します。なおこの出力は発行日時点で最新のリリース 7.6 のものです。

 

  • debug client はクライアントから Association Request を AP/WLC が受信するところから始まり、典型的には次の出力がスタートとなります。

 

*apfMsConnTask_6: Apr 26 02:09:17.972: 00:27:10:43:0e:20 Adding mobile on LWAPP AP 08:cc:68:b4:4e:f0(1)
*apfMsConnTask_6: Apr 26 02:09:17.972: 00:27:10:43:0e:20 Association received from mobile on BSSID 08:cc:68:b4:4e:fe

 

  • その後処理が進んでいき、RADIUS による認証が始まると次のように AAA override が適用される箇所が出てきます。

 

*apfReceiveTask: Apr 26 02:09:17.991: 00:27:10:43:0e:20 Applying new AAA override for station 00:27:10:43:0e:20
*apfReceiveTask: Apr 26 02:09:17.991: 00:27:10:43:0e:20 Override values for station 00:27:10:43:0e:20
                                                                                                        source: 2, valid bits: 0x500
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: 666
*apfReceiveTask: Apr 26 02:09:17.992: 00:27:10:43:0e:20 Override values (cont..) dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                                                                                                vlanIfName: '', vlanId:0, aclName: 'no_ping_to_mgmt'

上記の例では Session Timeout 値として 666 秒が適用され、ACL 名として no_ping_to_mgmt が渡されていることがわかります。vlanID は 0 ですので、VLAN ID については値は override されておらず、WLAN に設定されている interface の VLAN ID が最終的には適用されます。なお ACL は WLC ローカルに予め同名で作成しておく必要があります。

  • この結果、クライアントが認証を終えた後の最終ステータスは次のように show client detail {MAC address of client} により確認できます。

 

(Wireless Controller) >show client detail 00:27:10:43:0e:20
Client MAC Address............................... 00:27:10:43:0e:20
Session Timeout.................................. 666
Policy Manager State............................. RUN
IPv4 ACL Name.................................... no_ping_to_mgmt

 

AAA Override を利用しているときに思い通りの結果が得られない場合は、上記の出力を基に、認証・ポリシーサーバから期待される値を受信できているか、そしてクライアントの最終ステータスはどのようになっているかを確認してみましょう。

 

226
閲覧回数
5
いいね!
0
コメント